活動目錄:操作系統平台的中心組件-中文百科頻道

數據存儲

人們經常将數據存儲作為目錄的代名詞。目錄包含了有關各種對象[例如用戶、用戶組、計算機、域、組織單位（OU）以及安全策略]的信息。這些信息可以被發布出來，以供用戶和管理員的使用。Windows 2000通過對目錄服務數據庫的維護來管理網絡上衆多的計算機、網絡設備、打印設備等基本信息和安全信息,提供對系統資源及服務的跟蹤定位,使各種資源和服務對用戶透明,用戶不必知道資源的具體位置就可以方便地訪問它們。

目錄存儲在被稱為域控制器的服務器上，并且可以被網絡應用程序或者服務所訪問。一個域可能擁有一台以上的域控制器。每一台域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器複制到域、域樹或者森林中的其它域控制器上。由于目錄可以被複制，而且所有的域控制器都擁有目錄的一個可寫副本，所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。

目錄數據存儲在域控制器上的Ntds.dit文件中。我們建議将該文件存儲在一個NTFS分區上。有些數據保存在目錄數據庫文件中，而有些數據則保存在一個被複制的文件系統上，例如登錄腳本和組策略。

有三種類型的目錄數據會在各台域控制器之間進行複制：

·域數據。域數據包含了與域中的對象有關的信息。一般來說，這些信息可以是諸如電子郵件聯系人、用戶和計算機帳戶屬性以及已發布資源這樣的目錄信息，管理員和用戶可能都會對這些信息感興趣。

例如，在向網絡中添加了一個用戶帳戶的時候，用戶帳戶對象以及屬性數據便被保存在域數據中。如果您修改了組織的目錄對象，例如創建、删除對象或者修改了某個對象的屬性，相關的數據都會被保存在域數據中。

·配置數據。配置數據描述了目錄的拓撲結構。配置數據包括一個包含了所有域、域樹和森林的列表，并且指出了域控制器和全局編錄所處的位置。

·架構數據。架構是對目錄中存儲的所有對象和屬性數據的正式定義。WindowsServer2003提供了一個默認架構，該架構定義了衆多的對象類型，例如用戶和計算機帳戶、組、域、組織單位以及安全策略。管理員和程序開發人員可以通過定義新的對象類型和屬性，或者為現有對象添加新的屬性，從而對該架構進行擴展。架構對象受訪問控制列表（ACL）的保護，這确保了隻有經過授權的用戶才能夠改變架構。

概念簡述

1.名稱空間。名稱空間是一種命名規則，通常用來定義網絡資源的惟一名稱。活動目錄本質上就是一個名稱空間，包含了很多的對象，每個對象都有自己的名字。在這裡，可以把他們的關系形象地理解成是一種解析關系。如：通訊錄可以形成一個名稱空間，每個人的名字都可以被解析為對應的地址等信息。windows的文件系統也可以形成一個名稱空間，每個文件名都可以被解析為實際的某個文件。

2.對象。對象是活動目錄中的信息實體。同時它也是一組屬性的集合。

3.容器。容器是邏輯上包含其他對象的對象，容器同樣也有屬性，但容器與對象不同，容器不代表有形的實體，形象地說，容器是其他對象或容器的容器。在windowsserver2003中的活動目錄中，可以将組、用戶、計算機作為容器來顯示。

4.目錄樹。目錄樹是指在名稱空間中，由容器和對象構成的層次結構。樹的末梢葉子結點是對象，而非葉子節點都是容器。目錄樹表達了對象的連接方式，也顯示了從一個對象到另一個對象的路徑。在活動目錄中，目錄樹是基本的結構。

5.組織單位。組織單位是容器的一種，它是windowsserver2003中新增加的一類對象，可以用它來容納活動目錄中的其他對象。組織單位中可以包含其他組織單位。這樣，管理員可以根據需要來擴展容器層次而不需要建立新域。組織單元是可以指派組策略設置或委派管理權限的最小作用單位。

使用組織單位可以将網絡所需的域數量降到最低，用戶可以擁有對域中所有組織單位或對單個組織單位的管理權限，而組織單位的管理員可以不具有域中任何其他組織單位的管理權限。

6.組。組是可以包含用戶、計算機和其他組的活動目錄對象，windowsserver2003可以通過組來管理用戶和計算機對網絡共享資源的訪問，還可以通過組來為用戶和計算機指派統一的配額設置。

組織單位與組的不同之處在于：組織單位隻是一個邏輯上的容器，用于在單個域中創建對象集，，但不授予成員身份；組則是用來管理其所包含的對象，組中的對象擁有該組定義的所有權限。

7.用戶和計算機。它們是活動目錄的具體對象。用戶想要登錄到網絡中，需要有自己唯一的賬戶和密碼。活動目錄允許經過授權用戶登錄到計算機或域。活動目錄中的計算機指加入域中的運行windowsserver2003、windows2000、windowsNT系統的計算機。

計算機與用戶類似，也需要通過審核驗證才能訪問域資源。

8.域。域是網絡對象（用戶、組、計算機等）的分組，域中所有的對象都存儲在活動目錄中，活動目錄由一個或多個域組成。域是windows2000或server2003網絡系統的一個安全界限，即安全策略和訪問控制設置等都不能跨越不同的域，每個域的管理員都有權設置屬于該域的策略。

9.域樹由多個域組成，這些域共享公共的架構、配置和全局編錄能力，形成一個連續的名稱空間，域樹中的域通過相互信任連接起來。活動目錄中可以包含一個或多個域樹。也可以從名稱空間解釋域樹的結構關系，域樹中的一個域稱為根域，其他或是根域中的子域。直接在一個域上層的域稱為子域的父域。這樣域樹中的域根據子域和父域形成層次結構命名。其中各自的命名關系如下：根域為：abc.r；直接下層子域：child.abc.r；在下一層：grandchild.child.abc.r。在域樹中的任何兩個域之間都是雙向可傳遞的信任關系。

10.林。一個或多個域樹可以組成林，同一個林中的域也可以共享相同類的架構、站點和複制以及全局編錄能力，但林中的域樹之間并不形成連續的名稱空間。在新林中創建的第一個域是該林的根域，林範圍的管理組都位于該域，為了方便管理，新創建的域最好都位于林根域或子域。同一個林内的域是按雙向可傳輸的信任關系進行鍊接的。而兩個windowsserver2003林間的信任，可以形成兩個林内所有域間信任關系，林信任隻能在每個林内的林根域間創建。林信任也是可以傳遞的，可以單向或雙向，但都需要管理員手動建立林信任。

11.架構：對可以存儲在目錄中的對象全體的一組定義，對于每個對象類，架構都定義了該類的實例所必須擁有的屬性和可能擁有的其他屬性，或者可以是其父類的其他對象類。每個新創建的目錄對象在寫入該目錄之前，都要針對架構中的相應對象定義進行驗證。架構由對象類和屬性組成，基礎（默認）架構包含一組豐富的對象類别和屬性以滿足大多數單位的需要，并且還遵循目錄服務國際标準組織X.500标準進行建模。架構是可以擴展的，因此可以在基礎架構中修改和添加類别屬性。

12.站點：活動目錄中的站點代表網絡的物理結構。活動目錄使用拓撲信息（在目錄中存儲為站點和站點鍊接對象）來建立最有效的複制拓撲。可以在windowsserver2003域控制器上，使用活動目錄站點和服務定義站點和站點鍊接。站點和域不同，站點代表網絡的物理結構，而域代表網絡組織的邏輯結構。

13.複制：複制是将更新過的數據從源計算機上的數據存儲或文件系統，複制到一個或多個目标計算機上匹配的數據存儲或文件系統，從而同步這些數據的過程。在活動目錄中，通過複制可以同步域控制器之間的架構、配置、應用程序和域目錄分區。

14.全局編錄：應用程序和客戶能夠通過全局編錄數據庫，定位林内的任意對象。全局編錄位于林内的一個或多個域控制器上，它包含林内所有域目錄分區的部分副本，而這些部分副本是林内每一個對象的副本，通常這些部分副本是搜索操作中最常用的屬性和定位對象的完全副本所需要的屬性。在全局編錄中存儲所有域對象的最常搜索的屬性，可以為用戶提供高效的搜索，而不會以不必要的域控制器參考而影響網絡性能。